Authentification à deux facteurs par carte
à puce dans les systèmes d'exploitation et les applications

Remplacement des mots de passe par une authentification à deux facteurs pour Windows et des applications dans un environnement Active Directory

access manager

L'authentification classique par mot de passe ne fournit pas un niveau de sécurité acceptable pour les entreprises modernes. Les problèmes d'utilisation des mots de passe incluent les risques en matière de sécurité de l'information suivants:

Sélection de mots de passe

Les utilisateurs n'utilisent pas de mots de passe complexes ou longs, parce qu'ils sont difficiles à inventer et à mémoriser. Cela permet à l'attaquant de sélectionner les mots de passe des comptes des employés. Les employés utilisent souvent un mot de passe pour toutes les applications et tous les services, ce qui aggrave le problème. En prenant un mot de passe pour l'un des systèmes, l'attaquant obtient l'accès à toutes les ressources disponibles pour l'employé.

Divulgation et transfert de mots de passe

Les employés ordinaires n'attachent pas d'importance à la confidentialité de leur mots de passe et les écrivent souvent sur leur lieu de travail. De plus, ils découvrent souvent leur mot de passe à leurs collègues en leur demandant de faire quelque chose en leur absence (envoyer un rapport, voir le courrier, etc.). Cette situation permet à un attaquant d'obtenir plus facilement les mots de passe de quelqu'un d'autre et n'exige pas qu'il utilise des solutions techniques complexes.

Utilisation de mots de passe par les employés licenciés

Si, après le licenciement d'un employé, le service informatique n'avait pas le temps ou avait oublié de bloquer son compte, l'employé peut accéder à des informations confidentielles et les transférer à des concurrents.

L’une des solutions à ce problème est l'utilisation de supports cryptographiques matériels (cartes à puce et clés USB) et d'infrastructure PKI pour authentifier les utilisateurs.

Tâches

En général, les tâches de transition vers l'authentification par les cartes à puce peuvent être formulées comme suit:

    • Implémentation de l'authentification à deux facteurs des utilisateurs Active Directory sur l'ordinateur au moyen de cartes à puce/clés USB et de certificats numériques ;
    • Mettre en œuvre un mécanisme d'authentification à deux facteurs et d'authentification unique dans les applications métier sur les ordinateurs des employés (Enterprise Single Sign-On).

Solution

Pour résoudre ces problèmes, l'application combinée de Indeed Certificate Manager (Indeed CM) et de Indeed Access Manager (Indeed AM) est requise.

Authentification à deux facteurs des utilisateurs Active Directory sur l'ordinateur

Dans cette option, les cartes à puce ou les clés USB et les certificats numériques sont utilisés pour l'authentification à deux facteurs des utilisateurs. Ce type d'authentification "original" est pris en charge dans l'infrastructure de domaine Active Directory permettant d'utiliser des mécanismes Windows intégrés.

Cette approche nécessite le déploiement et la maintenance de l'infrastructure à clé publique (PKI). Ceci génère diverses tâches spécifiques: contrôle de la validité des certificats numériques, gestion des supports de clés et certificats (émission, remplacement et déverrouillage de dispositifs, délivrance, mise à jour des certificats), retrait en temps opportun des certificats des employés licenciés, etc. Indeed Certificate Manager (Indeed CM) résout les tâches énumérées et réduit les coûts de maintenance de l'infrastructure PKI. Indeed CM exerce les attributions suivantes:

  1. Gestion du cycle de vie des supports de clés et certificats sur la base de stratégies centralisées
  2. Enregistrement au journal des actions des administrateurs et des utilisateurs avec les supports de clés
  3. Fournir un mécanisme de self-service au personnel pour enregistrer/émettre/mettre à jour/déverrouiller des dispositifs
  4. Envoi de notifications par email à tous les événements système
  5. Sauvegarde des informations clés
  6. Intégration avec les systèmes de classe Identity Management (systèmes de contrôle d'accès) pour la révocation automatique des certificats des employés licenciés
  7. Emission par lots de cartes à puce à l'aide d'une imprimante spécialisée (y compris l'impression sur des cartes de données des employés).

Indeed CM permet de travailler simultanément avec plusieurs domaines Active Directory en tant qu’annuaire d’utilisateurs et avec plusieurs centres de certification (par exemple, avec Microsoft CA pour émettre des certificats d’authentification et centre de certification CryptoPro pour émettre des certificats qualifiés). Ceci offre la flexibilité lorsqu'on travaille dans une infrastructure distribuée.

Authentification à deux facteurs et authentification unique pour les applications métiers

Pour les systèmes d’information qui ne prennent pas en charge l’intégration avec Active Directory, le package logiciel Indeed Access Manager est utilisé pour l'accès direct. Le Indeed AM comprend un module Indeed AM Enterprise Single Sign-On (Indeed AM ESSO), qui fournit les fonctions nécessaires. Indeed AM ESSO applique l’approche de l'authentification unique (single sign-on) à l’échelle de l’entreprise. Le système stocke de façon centralisée les mots de passe des utilisateurs pour toutes les applications nécessitant l'authentification et les insère automatiquement lorsque l'application le requiert. La technologie Indeed AM Enterprise SSO peut s’appliquer à n’importe quel type d’application (Windows, Web, .net, SAP GUI), quelle que soit l’architecture ':' architecture à un, deux ou trois niveaux, client lourd, client léger, applications terminales.

Les solutions Indeed AM et Indeed CM sont intégrées les unes aux autres, ce qui permet d’enregistrer automatiquement les cartes à puce et les clés USB émises dans la base de données Indeed AM de Indeed CM. Les supports de clé, enregistrés de cette manière, sont utilisés pour l'authentification à deux facteurs des utilisateurs avant de leur donner l'accès aux applications cibles au moyen de Indeed AM ESSO.

La schéma générale de solution est ci-dessous

Two-factor authentication scheme

Caractéristiques de Indeed CM et Indeed AM ESSO

Soupporter les divers fabricants de cartes à puce

Indeed CM est conçu pour fonctionner avec différentes cartes à puce, tandis que toutes les cartes supportées ne peuvent être utilisées que dans le cadre d'une infrastructure. L'architecture de la solution permet de soutenir rapidement les nouveaux supports de clés. À ce stade, les supports de clés suivants sont pris en charge:

Carte à puce virtuelle

Indeed CM prend en charge la carte à puce virtuelle Indeed Air Key Enterprise, qui est une implémentation logicielle d’une carte à puce vous permetant d’effectuer l’ensemble des opérations disponibles pour les supports de clés matérielles. La carte virtuelle peut être livrée à distance à l'ordinateur de l'utilisateur. Cela permet, par exemple, de délivrer rapidement une copie virtuelle d'une carte à puce à l'utilisateur s'il a oublié ou cassé sa carte matérielle.

Intégration avec IDM

Indeed AM ESSO prend en charge l’intégration avec les systèmes IDM les plus courants: Microsoft FIM, IBM Tivolli IDM, Solar inRightsм. The integration has the following benefits:

    • L'augmentation du niveau de sécurité des informations de l'entreprise grâce à l'automatisation complète du cycle de vie des mots de passe des utilisateurs: passwords are created, entered and changed automatically, without user or administrator intervention
    • Minimisation des étapes pour fournir et obtenir l'accès pour les employés. Après avoir enregistré un nouvel utilisateur dans le système d'origine (par exemple, le système RH) et effectué une synchronisation (en mode automatique), l'utilisateur obtient un accès sans mot de passe à tous les systèmes dont il a besoin.

Fonctionnement hors ligne

En cas de besoin, lorsque le réseau de l'entreprise (et le serveur ESSO) n'est pas disponible (par exemple, lors d'un voyage d'affaires ou en cas de problème de réseau), l'administrateur ESSO peut autoriser un employé à travailler hors ligne. Dans ce mode, le profil ESSO de l'utilisateur est temporairement sauvegardé sur son ordinateur et est utilisé lorsqu'il ne peut pas contacter le serveur. La période de la vie locale du profil est définie par l’administrateur. Une fois ce délai écoulé, la copie locale du profil est supprimée.

EN SAVOIR PLUS
POSEZ VOTRE QUESTION DANS UN CHAT EN DIRECT SUR NOTRE SITE WEB
  • sur les projets mis en œuvre
  • sur la comparaison avec les concurrents
  • sur les prix et les licences
  • sur le matériel nécessaire
Indeed chat
INDUSTRIE AUTOUR DE NOUS
KuppingerCole Leadership
Dans le rapport du 21 mars 2016 de KuppingerCole, Indeed Identity a été mentionné en tant que « fournisseur spécialisé » du segment du marché de la gestion d’accès qui fournit les solutions d’authentification des utilisateurs, de cryptage des messages et de sécurisation des informations sur les téléphones mobiles.
KuppingerCole
le premier analyste européen sur les thèmes de la sécurité de l’information à l’ère de la transformation numérique
X Infotech
"Indeed Identity est un partenaire important de la Softline depuis très longtemps. Ensemble, nous avons réalisé plusieurs projets réussis dans de nombreux domaines économiques. Les entreprises internationales choisissent Indeed ID en raison de ses logiciels fiables, de ses prix compétitifs et de ses services remarquables."
Sergey Yeliseyev
Groupe Softline, responsable de la promotion régionale de la sécurité de l’information
Softline
Indeed Identity est la société de professionnels opérant dans le domaine de la sécurité de l’information. Ils fournissent des solutions haut de gamme pour la gestion de l’infrastructure à clé publique et le contrôle d’accès aux ressources de l’entreprise. Nous vous recommandons cette société en tant que partenaire fiable.
Michael Lisnevsky
Propriétaire de X-Infotech, directeur du développement, solutions d’administration pour la carte d’identité électronique